Cyberkriminelle nutzen verstärkt digitale Dokumenten-Veröffentlichungsplattformen (DDP) wie FlipSnack, Issuu, Marq, Publuu, RelayTo und Simplebooklet, um Phishing-Angriffe, das Sammeln von Anmeldeinformationen und den Diebstahl von Sitzungstokens durchzuführen. Dies unterstreicht erneut, wie Bedrohungsakteure legitime Dienste für bösartige Zwecke umfunktionieren.
„Das Hosting von Phishing-Ködern auf DDP-Websites erhöht die Wahrscheinlichkeit eines erfolgreichen Phishing-Angriffs, da diese Websites oft einen guten Ruf genießen, unwahrscheinlich auf Webfilter-Blocklisten erscheinen und bei Nutzern, die sie als vertraut oder legitim erkennen, ein falsches Sicherheitsgefühl erzeugen können“, erklärte Craig Jackson, Forscher bei Cisco Talos, letzte Woche.
Während Gegner in der Vergangenheit populäre Cloud-basierte Dienste wie Google Drive, OneDrive, Dropbox, SharePoint, DocuSign und Oneflow zur Speicherung von Phishing-Dokumenten genutzt haben, markiert die jüngste Entwicklung eine Eskalation, die darauf abzielt, E-Mail-Sicherheitskontrollen zu umgehen.
Cybersicherheit DDP-Dienste ermöglichen es Nutzern, PDF-Dateien hochzuladen und in einem browserbasierten interaktiven Flipbook-Format zu teilen, wodurch jedem Katalog, jeder Broschüre oder Zeitschrift Seitenwechseleffekte und andere skeuomorphe Effekte hinzugefügt werden.
Es wurde festgestellt, dass Bedrohungsakteure die kostenlose Stufe oder einen kostenfreien Testzeitraum dieser Dienste ausnutzen, um mehrere Konten zu erstellen und bösartige Dokumente zu veröffentlichen.
Neben der Ausnutzung ihres günstigen Domain-Rufs nutzen die Angreifer die Tatsache, dass DDP-Seiten eine transiente Dateihosting-Funktion bieten, die es ermöglicht, dass veröffentlichte Inhalte nach einem vordefinierten Ablaufdatum und -zeitpunkt automatisch nicht mehr verfügbar sind.
Darüber hinaus könnten Produktivitätsfunktionen in DDP-Seiten wie Publuu als Abschreckung dienen und die Extraktion und Erkennung bösartiger Links in Phishing-Nachrichten verhindern.
In den von Cisco Talos analysierten Vorfällen werden DDP-Seiten in der sekundären oder mittleren Phase der Angriffskette integriert, typischerweise indem ein Link zu einem auf einer legitimen DDP-Seite gehosteten Dokument in eine Phishing-E-Mail eingebettet wird.
Das auf der DDP gehostete Dokument dient als Gateway zu einer externen, von den Angreifern kontrollierten Website, entweder direkt durch Anklicken eines Links in der Köderdatei oder über eine Reihe von Weiterleitungen, die auch das Lösen von CAPTCHAs erfordern, um automatisierte Analysebemühungen zu vereiteln.
Cybersicherheit Die finale Zielseite ist eine gefälschte Website, die die Microsoft 365-Login-Seite nachahmt, wodurch die Angreifer Anmeldeinformationen oder Sitzungstokens stehlen können.
„DDP-Seiten könnten einen blinden Fleck für Verteidiger darstellen, da sie für geschulte Nutzer ungewohnt sind und wahrscheinlich nicht von E-Mail- und Webinhaltsfilterkontrollen markiert werden“, sagte Jackson.
„DDP-Seiten schaffen Vorteile für Bedrohungsakteure, die moderne Phishing-Schutzmaßnahmen umgehen wollen. Die gleichen Funktionen und Vorteile, die legitime Nutzer zu diesen Seiten ziehen, können von Bedrohungsakteuren missbraucht werden, um die Wirksamkeit eines Phishing-Angriffs zu erhöhen.“